Een onderzoek onthult een wereldwijd netwerk van oplichtingspraktijken dat zich via Facebook en Instagram verspreidt.

Advertenties rechtstreeks geïnspireerd door de pers – Bron: Tussen 9 februari en 5 maart 2026 analyseerden onderzoekers van Bitdefender 310 frauduleuze advertentiecampagnes die via Meta-platformen werden verspreid. In totaal werden meer dan 26.000 advertenties geïdentificeerd, in meer dan vijftien talen en op zes continenten. Volgens het onderzoek schuilt er achter deze campagnes een gecoördineerd ecosysteem dat er systematisch op gericht is internetgebruikers naar beleggingsfraude te leiden. De scenario's verschillen per land, maar het mechanisme blijft hetzelfde: advertenties nemen de vorm aan van exclusieve onthullingen, televisieschandalen of zogenaamde beperkte mogelijkheden. Deze advertenties imiteren vaak gevestigde media en gebruiken de namen van publieke figuren om hun geloofwaardigheid te versterken, zoals in Frankrijk waar sommige varianten mediapersoonlijkheden zoals Léa Salamé of politici in fictieve artikelen tonen.

Zodra de internetgebruiker overtuigd is, wordt hij of zij aangemoedigd een formulier met contactgegevens in te vullen. Deze informatie wordt vervolgens gebruikt om frauduleuze netwerken te voeden, waarbij de oplichters rechtstreeks contact opnemen met slachtoffers om hen onder druk te zetten te investeren in nep-handels- of cryptovalutaplatformen.

Een industrieel systeem ontworpen om moderatie te omzeilen

Een van de meest opvallende aspecten van deze operatie ligt in de technieken die worden gebruikt om geautomatiseerde detectiesystemen te omzeilen.

Onderzoekers hebben verschillende ontwijkingsmethoden waargenomen die direct in de infrastructuur zijn ingebouwd. Sommige advertenties tonen bijvoorbeeld een preview met een link naar een legitiem domein, soms zelfs naar google.com. Na een klik leidt een reeks onzichtbare redirects de gebruiker echter naar een frauduleuze pagina.

Cybercriminelen beheren ook hele netwerken van nepwebsites die bekende media nabootsen, zoals Le Monde, en maken gebruik van technieken voor het vervangen van tekens.

Concreet worden Latijnse letters vervangen door visueel identieke Cyrillische equivalenten, waardoor de aanvaller geautomatiseerde filters kan omzeilen zonder dat de gebruiker het merkt.

In sommige gevallen worden zelfs volkomen legitieme websites, zoals die van restaurants of lokale bedrijven, gebruikt als front-URL's om de aanval te verbergen.

Een organisatie gestructureerd als een franchisemodel…

Analyse van metadata en technische infrastructuur suggereert dat deze fraude niet het werk is van één enkele groep. Onderzoekers vermoeden dat verschillende operators dezelfde tools en methoden delen.

Het systeem werkt waarschijnlijk volgens een affiliate-model, waarbij een gedeelde "toolkit" teams in staat stelt hun eigen campagnes te lanceren met dezelfde verdienmodellen. Sporen die in sommige campagnes zijn aangetroffen, tonen echter operationele signalen in het Russisch, hoewel er geen bewijs is dat de operatie aan een staatsactor kan worden toegeschreven.